紫色の六角形のパターン
詳細を見る

NIS 2を探る: 変更、要件、準備

ネットワークおよび情報システム(NIS)指令が再び欧州の情勢を揺るがしています。 厳しい制裁の可能性があり、さらに厳しい要件が目前に迫っているため、コンプライアンスのナビゲートはこれまで以上に複雑になっています。

ここでは、NIS 2とその組織への影響について知っておくべきことをすべて説明します。

NIS 2とは?

NIS 2は、Network and Information Systems Directiveの第二版です。 この画期的なサイバーセキュリティ法制は、欧州連合(EU)全域の組織、特に重要インフラおよび必須サービスの運営者について、より高いレベルのサイバー耐性を確立することを目的としています。

なお、「NIS 2」が法案の正しい名称です。 しかし、公式文書で「NIS2準拠」や「NIS2指令」という言葉を目にすることがあります。 どちらも認められますが、EU官報に掲載されるのは前者です。

EU全体の規制として、各加盟国は2024年10月17日までにNIS指令をそれぞれの国内法制に移さなければなりません。その時点で、対象となるすべての組織はセキュリティ要件に準拠する法的義務を負うことになります。 より簡単に言えば、EU諸国はすべて、自国内でこの規則が法的拘束力を持つようにし、施行する必要があるということです。

国家レベルでは、NIS 2は次のような方法でサイバーセキュリティ全体を強化することを目指しています:

  1. EUの各加盟国に対し、コンピュータセキュリティインシデント対応チーム(CSIRT)と管轄の国家ネットワーク情報システム当局を設置し、サイバー脅威への備えをすることが義務付けられます。
  2. 情報交換のための協力グループの設立により、加盟国間の協力が強化されます。 
  3. 情報通信技術(ICT)に大きく依存する重要インフラ部門全体でサイバーセキュリティ文化を醸成します。

要するに、NIS 2は、EU全域の関連機関が、適切なセキュリティ対策、脅威情報、ベストプラクティスによって脅威を軽減できるようにするためのものです。

NIS 2が重要な理由は?

NIS 2は、オリジナルのNIS指令 を大幅に改善したものです。 歴史的に見れば、NIS 1は欧州初のサイバーセキュリティ法制であり、地域全体のサイバー耐性を強化することも目的としていました。

意識改革を引き起こし、データ保護を改善することには成功しましたが、それでも課題に直面しました。 施行直後は、欧州連合(EU)全体でさまざまなレベルの採用が見られました。 ある国では必要不可欠とされる企業もありましたが、他の国ではそうでないこともありました。 このような矛盾の結果、コンプライアンスの状況は混乱し、断片化しました。

同時に、2016年以降、リスク環境は飛躍的に進化しています。 世界的に見ると、サイバー犯罪は急速に成長しており、それを国として計測すれば世界第3位の経済規模を持つことになります。 人工知能(AI)の使用など、これまでには見られなかった方法で、新しく、ますます洗練された攻撃ベクトルが組織に挑戦しています。

例えば、AIを搭載したフィッシング詐欺は、疑うことを知らないユーザを欺き、簡単にログイン認証情報を盗む方法を学習しています。 また、量子コンピュータの出現により、ハッカーが現在使われている暗号アルゴリズムの多くを解読できるようになるのも時間の問題です。

もちろん、地政学的要因は複雑さを増しています。 ウクライナにおけるロシアの戦争は、政治的な動機に基づく、国家によるサイバー攻撃を生み出しました。 欧州連合サイバーセキュリティ機関(ENISA)によると、2022年、これらの攻撃の大部分は、行政や政府、デジタルサービスプロバイダー、重要インフラを標的としています。

こうした問題を踏まえ、欧州委員会はNIS指令の改正を決定しました。 第二の反復は、統一的な実施に取り組むだけでなく、変化するサイバー脅威の状況に合わせて、サイバーレジリエンスの水準を引き上げるものです。

主な変更点: NIS 2対最初のNIS指令

更新されたNIS指令は、前バージョンの欠陥を是正し、その範囲と規模を大幅に拡大しました。 具体的には、NIS 1と比較すると:

  • 対象分野を拡大している
  • コンプライアンス違反により厳しい制裁を課している
  • より厳しいサイバーセキュリティ要件が義務付けられる

最初のNIS指令と第二のNIS指令の主な違いを詳しく見てみましょう。

スコープの拡大

当初のNIS指令は「必須サービス事業者」(OES)と「デジタルサービスプロバイダー」(DSP)に適用されていました。 今、この区別はなくなりました。 

その代わり、関連する事業体は規模やタイプによって分類されます。 一般的に、NIS 2は欧州連合(EU)に「不可欠または重要なサービス」を提供するすべての組織に影響を与えます。 これにより、対象となる部門が7部門から15部門に増え、EU社会のより重要な側面が保護されることになりました。

必要不可欠な企業とは、以下のような重要な分野で事業を展開する大企業に分類されます。 この場合、大企業とは、従業員250人以上、年間売上高5,000万ユーロ以上、または年間貸借対照表が4,300万ユーロ以上の企業を指します。 NIS 2によると、必要不可欠なサービスには以下のようなものがあります:

  • エネルギー
  • 交通
  • 金融
  • 行政
  • 健康
  • 宇宙
  • 水供給(飲料水および廃水)
  • デジタルインフラ

対照的に、重要な事業体とは、重要度の高い分野で事業を営む中堅企業であり、エッセンシャルサービスの範疇には入りません。 これらの組織は通常、従業員数が50人以上、年間売上高が1,000万ユーロ以上、または貸借対照表が1,000万ユーロ以上です。 NIS 2における重要な組織は以下の通りです:

  • 郵便サービス
  • 廃棄物管理
  • 化学
  • リサーチ
  • 食品
  • 製造
  • デジタルプロバイダー

上記のセクターの中には、デジタルインフラやデジタルプロバイダーなど、重複しているように見えるものもあります。 前者は、クラウドサービス、通信事業者、データセンター、トラストサービスなどを指します。 要するに、社会の基幹となるデジタルサービスを提供するあらゆる事業体が含まれます。

デジタルプロバイダーには、検索エンジン、オンラインマーケット、ソーシャルネットワークなど、より具体的なサービスが含まれます。 それらは、人々のコミュニケーションや取引の方法にとって不可欠なものですが、サイバーインシデントによって操作不能になっても、劇的な影響はないかもしれないものです。

しかし、EU域外に拠点を置く事業者についてはどうでしょうか? NIS 2の第26条に基づき、必須かつ重要な事業体は、サービスを提供するEU加盟国の管轄下にあるとみなされます。 複数の加盟国でサービスを提供している場合は、それぞれの加盟国の管轄下に置かれます。

より強力な非遵守

NIS 2では、コンプライアンス違反に対する罰則を大幅に強化しています:

1. 金銭以外の罰則

NIS 2は各国の監督当局に課税権を与えています:

  • コンプライアンス指令
  • バインディング方法
  • セキュリティ監査
  • 脅威通知命令

2. 行政罰金

正確な罰金は加盟国によって異なりますが、NIS指令は制裁の最低リストを定めています。 

  • 必要不可欠な事業体については、加盟国は少なくとも1,000万ユーロまたは全世界の年間売上高の2%のいずれか高い方を最高罰金額としなければなりません。
  • 重要な企業がこの指令に違反した場合、加盟国は少なくとも700万ユーロまたは全世界の年間売上高の1.4%のいずれか高い方を上限として罰金を科さなければなりません。

3. 経営組織に対する刑事制裁

この指令には、IT部門にNIS 2遵守のすべての重圧を課すのではなく、サイバーセキュリティ事故が発生した場合、経営トップに重大な過失の個人責任を負わせる新たな制裁措置が盛り込まれています。 例えば、所轄官庁は経営幹部が管理職に就くことを一時的に禁止することができます。 また、組織に対してコンプライアンス違反の公表や、事件の責任者を特定する公表を命じることもできます。

要件の厳格化

最後に、NIS 2は、関連事業体に対するサイバーセキュリティの要件を飛躍的に高めています。 大まかに言えば、インシデントの早期報告、リスク管理の拡大、一連の最低限のセキュリティ対策を義務付けています。

それは何を意味するのでしょうか? NIS 2の正確な要件についてさらに深く掘り下げてみましょう。

NIS 2セキュリティ要件

新指令は、4つの分野にわたる義務を導入することで、サイバー耐性を強化しています:

危機管理

組織はサイバーセキュリティのリスク管理策を採用し、さまざまなサイバー脅威ベクトルの可能性と影響を最小限に抑えなければなりません。 具体的には、ネットワークや情報システムに影響を及ぼすリスクを軽減し、データ保護を強化するために、技術的、運用的、組織的な予防措置を実施しなければなりません。 これには、インシデント管理手順、サプライチェーンセキュリティの強化、アクセス制御システム、暗号化などが含まれます。

コーポレートガバナンス

経営管理機関は、各組織のサイバーセキュリティリスク管理プロトコルを監督および承認する責任があり、それらが効果的に実施されていることを確認しなければなりません。

第20条によると、加盟国は「重要かつ不可欠な事業体の経営陣が研修を受けることを義務付け」、従業員に同様の研修プログラムを一貫して提供するよう奨励すべきです。 その目的は、組織内のすべての人がリスクを特定し、可能な限りリスクを最小限に抑えることができるようにすることです。

インシデント報告

クリティカルエンティティは、そのサービス提供および/または利用者に重大な影響を及ぼすセキュリティインシデントを速やかに報告する手順を確立しなければなりません。 NIS 2は、「重大な」セキュリティインシデントを次のように分類しています:

  • 重要な部門に深刻な業務上の混乱を引き起こした、または引き起こす可能性がある
  • 他の自然人または法人に多大な損害を与えた、または与える可能性がある

事業者は、サイバーインシデントの発生を知ってから24時間以内に、加盟国の所轄官庁(CSIRTを含む)に早期警告を通知しなければなりません。 また、最初の書類を提出してから72時間以内に完全な報告書を、1ヵ月後に最終報告書を提出しなければなりません。

事業の継続性

改訂されたNIS 2は、攻撃後の事業継続性を保証することを目的としています。 企業は、このようなインシデントへの対応とそこからの回復を詳述した信頼できる戦略を策定し、混乱を迅速に最小化することを目指すことが求められています。 その結果、NIS 2はクラウドバックアップソリューションの採用を強調しています。

10のサイバーセキュリティ対策基本方針

第21条は、4つの包括的な分野をサポートするために組織が実施すべき10の基本的なセキュリティ対策を特定しています。 これらは、最も可能性の高い脅威ベクトルを軽減することを目的とした「オールハザードアプローチ」に基づいています。 これらの措置には以下が含まれます:

  1. リスク分析と情報システムセキュリティに関する方針
  2. アクティブな脅威に対処するためのインシデント対応計画
  3. バックアップ、災害復旧、危機管理手順などの事業継続計画
  4. 企業と直接のサプライヤーやサービスプロバイダーとの関係に対処する対策を含む、サプライチェーンのセキュリティ
  5. ネットワークおよび情報システムの取得、開発、保守におけるセキュリティ(脆弱性の取り扱いと情報公開を含む)
  6. サイバーセキュリティリスク管理策の有効性を評価するための方針と手順
  7. サイバーセキュリティに対する意識、衛生、ベストプラクティスのトレーニング
  8. 暗号および暗号化の使用に関する方針
  9. 特に機密データにアクセスできる従業員に対するアクセス管理手順
  10. 多要素認証、常時監視、安全な通信システム

NIS 2と他のサイバーセキュリティ規制との比較

NIS 2の他にも、EUの事業者は以下のような数多くの規制と戦わなければなりません:

  • デジタルオペレーショナルレジリエンス法(DORA)
  • 重要事業体レジリエンス(CER)指令
  • サイバーレジリエンス法(CRA)

これらの法律はどのようにオーバーラップしていますか? 詳細を説明します:

NIS 2 vs DORA

NIS 2もDORAもサイバーセキュリティ規制ですが、その目的は若干異なります。 DORAは金融部門に特化しているのに対し、NIS 2はより広範な組織を対象としています。

NIS指令の第4条1項および2項によると、ICTリスク管理および報告、デジタル運用回復力テスト、情報共有、第三者リスクに関するDORAの規定は、NIS 2に概説されているものに代わって適用されます。 言い換えれば、金融機関は、これらの領域についてはDORAを参照し、その他のすべての要件についてはNIS 2を参照すべきということです。

ボトムライン: DORAは、上記のセキュリティ対策に関しては、金融機関のNIS 2に優先します。

NIS 2 vs CER指令

CER指令は、エネルギーや輸送のプロバイダーなど重要な事業体に適用され、サイバー関連以外のリスクに対する防御を指導します。 NIS 2はサイバーセキュリティに重点を置いていますが、対象となる主体という点では重複があります。 このような場合、組織は、サイバーと物理的レジリエンスの両方に対応し、両方の指令へのコンプライアンスを確保する必要があります。

重要な事業体は、サイバーセキュリティに関してはNIS 2に準拠し、非サイバーインシデントに関してはCER指令に準拠すべきということです。

NIS 2 vs CRA

サイバーレジリエンス法は、モノのインターネット(IoT)機器のようなデジタル要素を持つハードウェアおよびソフトウェア製品のサイバーセキュリティに焦点を当てた法律案です。 NIS 2が企業自体のセキュリティ態勢の強化に重点を置いているのに対し、CRAは企業が製造または販売する製品のセキュリティを優先するよう求めています。 

一般的に、CRAはNIS 2を補完するものではありますが、必ずしもNIS 2と重なるものでも、取って代わるものでもありません。 したがって、企業は両方の規制を受ける可能性があります。

EntrustとNIS 2準拠を達成する

NIS 2への準拠が心配ですか? 私たちがお手伝いします。

Entrustは、サイバーセキュリティとデータ保護の痛みを取り除きます。 当社のポートフォリオには、お客様が必要とするすべてのコンプライアンスソリューションが含まれています:

  • ハードウェアセキュリティモジュール(HSM):EntrustのnShield HSMは、機密データを保護し、デジタルトランザクションの完全性を保証するために不可欠な暗号鍵を生成、管理、保護するための安全な環境を提供します。 
  • クラウドセキュリティポスチャ管理: 当社のフルスタックセキュリティツールは、継続的なモニタリング、脅威の自動検出などにより、企業がクラウド環境のセキュリティ態勢を管理できるよう支援します。
  • IDおよびアクセス管理(IAM): 当社は、企業が許可されたユーザのみが機密情報にアクセスできるようにし、ゼロトラストセキュリティの強固な基盤を提供できるようにするIAMソリューションを提供します。
  • 公開鍵暗号基盤(PKI): EntrustのPKI ソリューションは、通信とトランザクションの安全確保、デジタル証明書の管理、デジタル IDの真正性確保のためのフレームワークを提供します。これらはすべてNIS 2コンプライアンスにとって重要なものです。

全体として、Entrustの製品は、組織がサイバーセキュリティ態勢を強化し、脅威から保護し、NIS 2指令の要件を満たすための包括的なツール群を提供します。

準備はできていますか? 今すぐ当社のチームにご連絡ください。

お問い合わせ